Autor Thema: Solaris 10 / Zones / OpenVPN / Routing  (Gelesen 2334 mal)

michi

  • Gast
Solaris 10 / Zones / OpenVPN / Routing
« am: 17. Juni 2009, 17:36:08 »
Hallo Leute,

ich hab ein Problem mit OpenVPN und Zonen unter Solaris 10.

Ausgangslage:

o Solaris 10 SPARC
o Globale Zone mit 2 von 4 Netzwerk Interfaces konfiguriert (bge0 -> 192.168.6.35/24, bge1 -> 192.168.1.1/24)
o 1. Zone mit bge0:1 -> 192.168.6.36/24, bge1 -> 192.168.1.2/24
o 2. Zone mit bge0:1 -> 192.168.6.37/24, bge1 -> 192.168.1.3/24
o 3 -5. Zone analog
o /network/ipv4-forwarding aktiviert
o OpenVPN in der Global Zone

Problem:

Zweck der Übung ist, das öffentliche Netzwerk 192.168.6.0/24 via ipfilter abzusichern und das private Netz 192.168.1.0/24
via vpn erreichbar ohne Einschränkung zu machen.

Die OpenVPN Verbindung funktioniert gut und ich kann auf die private IP der globalen Zone (192.168.1.1) zugreifen.
Ebenso funktioniert der Zugriff auf eine andere Maschine am privaten Interface (192.168.1.11)
Was nicht funktioniert ist, der Zugriff auf die privaten IPs der anderen Zonen.

Der Client hat eine IP aus dem OpenVPN Range (10.10.0.6)

Routing Table: IPv4 (Globale Zone)
  Destination           Gateway           Flags  Ref     Use     Interface
-------------------- -------------------- ----- ----- ---------- ---------
default              192.168.6.1          UG        1         52
default              192.168.6.1          UG        1         44 bge0
default              192.168.1.1          UG        1          0 bge1
10.10.0.0            10.10.0.2            UG        1          0
10.10.0.2            10.10.0.1            UH        1          0 tun0
192.168.1.0          192.168.1.1          U         1          0 bge1
192.168.6.0          192.168.6.35         U         1         32 bge0
224.0.0.0            192.168.6.35         U         1          0 bge0
127.0.0.1            127.0.0.1            UH       19        242 lo0

Routing Table: IPv4 (1.Zone)
  Destination           Gateway           Flags  Ref     Use     Interface
-------------------- -------------------- ----- ----- ---------- ---------
default              192.168.6.1          UG        1         55
default              192.168.6.1          UG        1         46 bge0
default              192.168.1.1          UG        1          0 bge1
10.10.0.0            10.10.0.2            UG        1          1
192.168.1.0          192.168.1.2          U         1          0 bge1:1
192.168.6.0          192.168.6.36         U         1          0 bge0:2
224.0.0.0            192.168.6.36         U         1          0 bge0:2
127.0.0.1            127.0.0.1            UH        4        135 lo0:1


Ich vermute, dass Problem ist, die 4. Zeile der Routingtable der 1.Zone.

Hat jemand eine Idee?

OpenVPN config:
########################################################################################################################
# openvpn 'default' configuration file
########################################################################################################################

#-----------------------------------------------------------------------------------------------------------------------
# server config to be started
#-----------------------------------------------------------------------------------------------------------------------
daemon

#-----------------------------------------------------------------------------------------------------------------------
# pid file
#-----------------------------------------------------------------------------------------------------------------------
writepid /var/openvpn/default/openvpn.pid

#-----------------------------------------------------------------------------------------------------------------------
# log file
#-----------------------------------------------------------------------------------------------------------------------
log-append /var/openvpn/default/openvpn.log

#-----------------------------------------------------------------------------------------------------------------------
# port to listen on (default 1194)
#-----------------------------------------------------------------------------------------------------------------------
port 1194

#-----------------------------------------------------------------------------------------------------------------------
# protocol (udp, tcp-client, or tcp-server)
#-----------------------------------------------------------------------------------------------------------------------
proto udp

#-----------------------------------------------------------------------------------------------------------------------
# device to use (tun or tap)
#-----------------------------------------------------------------------------------------------------------------------
dev tun
dev-node /dev/tun

#-----------------------------------------------------------------------------------------------------------------------
# the server certificate
#-----------------------------------------------------------------------------------------------------------------------
ca /etc/ssl/ca.pem
cert /etc/ssl/openvpn.pem
key /etc/ssl/openvpn.pem

#-----------------------------------------------------------------------------------------------------------------------
# the diffi hellman parameters
#-----------------------------------------------------------------------------------------------------------------------
dh /etc/ssl/dh2048.pem

#-----------------------------------------------------------------------------------------------------------------------
# the tunnel network
#-----------------------------------------------------------------------------------------------------------------------
server 10.10.0.0 255.255.255.0
client-config-dir /etc/openvpn/default
client-to-client

#-----------------------------------------------------------------------------------------------------------------------
# persist assigned ip addresses to reassign
#-----------------------------------------------------------------------------------------------------------------------
ifconfig-pool-persist /var/openvpn/default/openvpn.ipp

#-----------------------------------------------------------------------------------------------------------------------
# send n keepalive pings a
#-----------------------------------------------------------------------------------------------------------------------
keepalive 10 120

#-----------------------------------------------------------------------------------------------------------------------
# authentication algorythm (see openvpn --show-digests for available algorythms)
#-----------------------------------------------------------------------------------------------------------------------
auth SHA1

#-----------------------------------------------------------------------------------------------------------------------
# encryption algorythm (see openvpn --show-ciphers for available algorythms)
#-----------------------------------------------------------------------------------------------------------------------
cipher AES-256-CBC

#-----------------------------------------------------------------------------------------------------------------------
# use lzo compression
#-----------------------------------------------------------------------------------------------------------------------
comp-lzo

#-----------------------------------------------------------------------------------------------------------------------
# set output verbosity (0-11)
#-----------------------------------------------------------------------------------------------------------------------
verb 3

#-----------------------------------------------------------------------------------------------------------------------
# push options
#-----------------------------------------------------------------------------------------------------------------------
push "route 192.168.1.0 255.255.255.0"
push "dhcp-option DNS 192.168.1.1"
########################################################################################################################



sonnenblen.de - Das unabhängige Sun User Forum

Solaris 10 / Zones / OpenVPN / Routing
« am: 17. Juni 2009, 17:36:08 »